Перевод СКУД с карт EM MARIN на карты MIFARE®. Полезные сведения для владельца объекта СКД
Подавляющее большинство современных систем контроля доступа (СКД) использует в качестве средств доступа идентификаторы, работающие на частоте 125 кГц. Это проксимити карты доступа (только чтение), самыми распространенными являются карты EM Marin, а также HID, Indala ® .
Карты этого стандарта являются удобным средством открывания дверей и турникетов. Но, не более. Эти карты не обладают никакой защищенностью, легко копируются и подделываются и, соответственно, ничего не дают для защиты объекта от несанкционированного проникновения.
А именно это зачастую и требуется от современных систем контроля доступа -предотвращение несанкционированного доступа на территорию объекта или в помещение. Настоящую защиту от копирования и подделки обеспечивают такие идентификаторы, в чипах которых реализована криптографическая защита.
Это бесконтактные смарт-карты, работающие на частоте 13,56 МГц, наиболее распространенными из них являются карты Mifare ® , HID iClass ® . В картах этих стандартов криптозащита организована на высоком уровне, и подделка таких карт практически невозможна. В данной статье рассматривается простой и легкий путь замены карт доступа EM Marin на действующем объекте СКД на карты стандарта Mifare ® .
Планируя замену карт EM Marin на карты Mifare ® в действующей СКД (или выбирая стандарт Mifare ® в качестве карт доступа для новой СКД), следует уделять особое внимание процессу выпуска карт доступа.
В отличие от обычной EM Marin, бесконтактные смарт-карты имеют память для записи-чтения и механизм криптографической защиты от несанкционированного чтения или записи данных в чип карты. И для того, чтобы в полной мере использовать имеющиеся возможности, заказчик СКД должен организовать у себя на объекте определенную процедуру выпуска карт доступа. Основные отличия карт Mifare ® и EM Marin приведены в таблице.
Одно их главных отличий Mifare ® от EM Marin — это наличие памяти для многократного чтения-записи. Причем, операции как чтения, так и записи в каждый сектор могут быть защищены крипто-ключами.
I. ТИПИЧНЫЕ ОШИБКИ ПРИ ИСПОЛЬЗОВАНИИ КАРТ ДОСТУПА MIFARE ®
Ошибка 1.
Считывание серийного номера карты.
Если считыватель, установленный у турникета, шлагбаума или двери в помещение будет считывать серийный номер чипа карты Mifare ® , то никакого преимущества по сравнению с картами EM Marin достигнуто не будет. Затраты на более дорогие карты доступа будут напрасными. Серийный номер чипа Mifare ® (UID) можно скопировать, хоть и несколько сложнее, чем UID карты EM Marin. При считывании серийного номера Mifare ® никак не задействуются криптографические функции, а это означает работу на уровне EM Marin, без защиты карты от копирования. Чтобы правильно использовать функциональные возможности карт Mifare ® надо считывать не серийный номер чипа, а данные из некоторого блока памяти карты (secure sector), доступ к которому защищен крипто-ключами.
Ошибка 2.
Подключения считывателя по Wiegand-26.
Ситуацию, когда с карты Mifare ® считывается серийный номер, а сам считыватель подключается к контроллеру через интерфейс Wiegand-26, можно назвать типичной. Но неправильной. Обусловлено это тем, что в подавляющем большинстве современных СКД считыватели карт подключаются по интерфейсу Wiegand, и чаще всего по его конкретной реализации — Wiegand-26. И монтажник думает, что подключив вместо считки EM Marin считку Mifare ® , он переведет действующую СКД на более высокий уровень защищенности. Не переведет. Ошибка в подключении считок Mifare ® по интерфейсу Wiegand-26 (для чтения серийного номера) заключается в том, что номер UID Mifare ® будет передаваться не полностью. Длина серийного номера Mifare ® 1K — 4 байта. А по Wiegand-26 передается только 3 байта. Эта ошибка приводит к появлению в системе дубликатов номеров карт. Для того, чтобы полностью считывать UID Mifare ® , надо подключать считыватели по интерфейсу Wiegand-42 (который позволяет передать в контроллер все 4 байта серийного номера Mifare ® ).
II. КАК ЗАМЕНИТЬ КАРТЫ EM MARIN НА КАРТЫ MIFARE ®
Для того, чтобы в действующей СКД заменить карты EM Marin на карты Mifare ® , необходимо выполнить простые действия:
1) Идентификатор карты EM Marin записать в память карты Mifare ® (рис. 1).
2) Настроить считыватели Mifare ® на чтение того блока памяти, в который записан идентификатор EM Marin.
3) Заменить считыватели EM Marin на считыватели Mifare ® (рис. 2). Все остальное сохраняется: программное обеспечение, база данных, отчеты и т.п. Проходы по новым картам Mifare ® будут обрабатываться точно так же, как и по старым картам EM Marin.
(рис. 1)
(рис. 2)
Но выполнение этих трех, перечисленных выше этапов характеризуется определенными тонкостями.
Рассмотрим эти этапы подробнее.
1. ЭМИССИЯ КАРТ
Эмиссия — это такой этап, обратить внимание на который должен сам владелец объекта с установленной СКД. Когда владелец объекта может быть уверен в том, что карты, открывающие доступ в важные помещения, не будут подделываться? Только тогда, когда защиту от подделки он продумает и реализует самостоятельно (или через свое доверенное лицо). Нельзя передавать эти функции разработчику или установщику СКД. Если сразу после закупки карты доступа Mifare ® будут выдаваться работникам — это ошибка. Для того, чтобы использовать все преимущества карт Mifare ® , их нужно подвергнуть двум процедурам, которые отсутствуют при использовании карт EM Marin, а именно — пред-эмиссии и эмиссии.
1.1. Пред-эмиссия. Запись ключей (прошивка карт Mifare ® )
Первое, что владелец объекта должен сделать, — это выбрать один сектор или несколько секторов памяти Mifare ® , в которых будут храниться данные. Второе — придумать значения ключа А для доступа к выбранным секторам памяти Mifare ® . В дальнейшем значение ключа А должно надежно храниться в сейфе. Во все закупленные карты Mifare ® записывается ключ А. В результате проведенной пред-эмиссии карты Mifare ® оказались переведенными из открытого заводского состояния в закрытое и защищенное состояние для данного объекта СКД (рис. 3).
(рис. 3)
1.2.Запись идентификаторов Em Marin в память карты Mifare ®
Действующая карта доступа EM Marin изымается у работника. Идентификатор (серийный номер чипа) карты EM Marin записывается в сектор карты Mifare ® ( в тот сектор, который выбран на этапе пред-эмиссии). Карта доступа Mifare ® выдается работнику. Эти действия производятся со всеми картами EM Marin, находящимися на руках у работников, до тех пор, пока не будут заменены все имеющиеся карты EM Marine (рис. 4).
(рис. 4)
2. НАСТРОЙКА СЧИТЫВАТЕЛЕЙ
Для того, чтобы считыватели могли работать с картами Mifare ® , прошитыми на предыдущем этапе, в них должны быть загружены соответствующие ключи. Не все считыватели подходят для работы в таком защищенном режиме, на что также следует обратить внимание владельцу объекта. Для использования в защищенном режиме подходят только такие считыватели Mifare ® , которые могут хранить в своей энергонезависимой памяти ключи для доступа ко всем 16 секторам Mifare ® . Многие дешевые считыватели не обладают такой характеристикой и, соответственно, бесполезны для защищенной СКД.
Запись ключей в считыватели Mifare ® переводятся с помощью специальной мастер-карты или карты-конфигуратора. Карта конфигурации подносится к каждому считывателю. В результате все считыватели переводятся из открытого заводского состояния в защищенное состояние, в котором они смогут работать с «прошитыми» картами данного объекта доступа (рис. 5).
(рис. 5)
3. ЗАМЕНА СЧИТЫВАТЕЛЕЙ
Считыватели EM Marin, установленные у турникетов, дверей и т.п., демонтируются. Вместо них устанавливаются уже «прошитые» считыватели Mifare ® и подключаются к контроллерам по интерфейсу Wiegand-26 (рис. 2).
4. ФУНКЦИОНИРОВАНИЕ СКД ПО КАРТАМ MIFARE ®
Все карты EM Marin заменены на «прошитые» карты Mifare ® . Вместо старых считок EM Marin к контроллерам (по Wiegand-26) подключены считки Mifare ® . Эти считки читают данные из защищенного блока памяти Mifare ® (secure sector), и в контроллер передается такой же идентификационный номер, который был у старой карты EM Marin.
Никаких других изменений, кроме отмеченных выше, не требуется. Проход по новой карте Mifare ® фиксируется точно так же, как и по старой карте EM Marin. С карты Mifare ® считывается такой же идентификационный номер, который был на карте EM Marin. По этому номеру работник однозначно идентифицируется в базе данных.
5. ВЫДАЧА НОВЫХ КАРТ ДОСТУПА MIFARE ®
После того, как были заменены все старые действующие карты доступа EM Marin, новым работникам должны выдаваться новые карты Mifare ® .
В карты, прошедшие пред-эмиссию на первом этапе, а именно — в выбранный закрытый сектор, производится запись новых идентификационных номеров. Диапазон этих идентификаторов выбирается системным администратором с учетом уже имеющихся номеров, чтобы избежать появления одинаковых номеров в системе. После этого карты доступа Mifare ® можно выдавать работникам.
Выдача новых карт доступа Mifare ® производится точно так же, как выдавались карты EM Marin (в бюро пропусков или в другом аналогичном месте).
Вместо контрольного считывателя EM Marin к компьютеру подключается контрольный считыватель Mifare ® (по интерфейсу USB), который считывает данные из защищенного блока памяти Mifare ® . Все остальное происходит точно так же, как и при выдаче карт EM Marin. Идентификатор, записанный в защищенный блок памяти Mifare ® , считывается с карты и сохраняется в базе данных вместе с персональными данными работника.
III. КАК ПРАВИЛЬНО ВЫБИРАТЬ КАРТЫ MIFARE ®
В отличие от карт EM Marin карты Mifare ® представляют собой более сложный продукт, и к закупке таких карт надо подходить более ответственно. На что же следует обращать внимание при заказе карт данного стандарта? На качество, которое складывается из следующих составляющих:
- чип карты;
- антенна;
- соединение чипа и антенны.
1. ЧИП КАРТЫ
Чипы Mifare ® 1K бывают оригинальные и нет. От этого зависят такие параметры, как надежность и корректность работы с памятью чипа. Карты Mifare ® 1K были изначально разработаны фирмой Philips и предназначались для локальной оплаты на транспорте.
В настоящее время все проекты Mifare ® ведет дочерняя фирма Philips — компания NXP Semiconductors. Чип от NXP называется MF1 IC S50 и является самым правильным «оригинальным» чипом.
Кроме NXP, оригинальные чипы выпускает фирма Infineon на основании лицензии от NXP. Чип от Infineon называется SLE66R35. По надежности и другим параметрам данный чип ничем не отличается от чипа NXP. Название MIFARE — торговая марка семейства бесконтактных смарт-карт, принадлежащая NXP Semiconductors.
Все продукты MIFARE ® базируются на международном стандарте ISO 14443 Type A — стандарте бесконтактных смарт-карт. Чипы, совместимые с Mifare ® 1K, также разработаны на основе данного стандарта ISO. На рынке существуют чипы, кроме MF1 IC S50 и SLE66R35, которые называют «совместимые» или «неоригинальные» чипы Mifare ® 1K. Но, так как эти чипы выпускаются без лицензии NXP, носить название Mifare ® на законных основаниях они не могут. Фирмы-разработчики таких чипов этого и не делают, они дают своим чипам другие названия. А словосочетание «совместимый Mifare» или «неоригинальный Mifare» придумали менеджеры по продажам. Из таких совместимых чипов наиболее известными являются:
- FM11RF08/Fudan;
- BL75R06/Belling;
- IS4439/ ISSI;
- SHC1102/ HuaHong и др.
Заводы-изготовители таких чипов в своей технической документации, естественно, не упоминают Mifare ® , а ссылаются на стандарт ISO 14443 Type A.
Следует иметь в виду, что стоимость совместимых чипов значительно ниже, чем стоимость оригинальных. Есть еще такое понятие, как корректная или полная реализация стандарта ISO 14443 Type A.
Не все совместимые чипы обладают такой реализацией. Это означает, что при выполнении сложных функций по операциям с памятью «Mifare-совместимого» чипа, такие чипы могут работать неправильно. Что и происходит на практике. Заказчик, польстившись на низкую стоимость, с удивлением обнаруживает, что карты через некоторое время перестают работать.
2. АНТЕННА
Бесконтактные смарт-карты стандарта ISO 14443 Type A работают на частоте 13,56 МГц. Т.е. и считыватель, и карта должны обеспечить работу на частоте 13,56 МГц. Для этого внутри карты имеется антенна.
Чаще всего антенна делается из нескольких витков медной проволоки. Медная проволока может наматываться китайским рабочим вручную, а может наматываться на автоматическом станке.
При намотке на станке антенна получается идеально ровной, чего нельзя сказать о ручной намотке. От этого может зависеть реальная частота, на которой данная антенна будет работать, и, соответственно, дальность считывания и правильность передачи данных между картой и считывателем.
3. СОЕДИНЕНИЕ ЧИПА И АНТЕННЫ
Чип и антенна должны быть надежно соединены. Иначе не будет передачи данных между картой и считывателем. От качества этого соединения зависит надежность и долговечность работы карты. Если площадь контакта антенной проволоки и чипа достаточно велика и качество пайки (сварки) высокое, карта будет долго и безупречно работать. Высокотехнологичные производства это обеспечивают.
Но если все делается вручную, обычным паяльником, со слабым технологическим контролем, то соединение чипа с антенной может оказаться слабым и разрушиться при использовании карты (от небольших вибраций и других внешних воздействий). Вот три наиболее важных момента, которые следует иметь в виду при заказе бесконтактных смарт-карт Mifare ® .
Примечание: Об оригинальности чипов EM Marin и Mifare ® .
То, что в народе называется EM Marin, представляет собой самую популярную карту доступа EM4102 от швейцарской фирмы EM Microelectronic-Mann SA. Но оригинальные чипы EM4102 практически отсутствуют на рынке. Подавляющее большинство карт доступа (браслетов, брелоков) поставляется с китайским аналогом TK4100 (и, строго говоря, называться EM Marin не может).
Mifare ® — это торговая марка фирмы NXP Semiconductors. Никто, кроме NXP, не может использовать для своих чипов (на законных основаниях) наименование Mifare ® .
В Китае производятся «совместимые» чипы. Но заводы-изготовители их и не называют Mifare ® , а дают свои наименования (например, ISSI, F08, TKs, HuaHong).
К сожалению, на отечественно рынке многие поставщики не делают такой дифференциации и поставляют «совместимые» чипы, как настоящие Mifare ® .
IV. КАК ДОБАВИТЬ В СКД ДОСТУП ПО ОТПЕЧАТКАМ ПАЛЬЦЕВ
Дополнительно повысить защищенность и безопасность СКД можно, добавив предоставление доступа по карте + по отпечатку пальца. Если такое повышение статуса СКД необходимо для системы, где уже есть карты EM Marin, то, вместе с заменой карт EM Marin на карты Mifare ® можно легко и просто добавить верификацию по отпечатку пальца. Выполняется это с помощью комбинированного считывателя Mifare ® и отпечатка пальца, который подключается к контроллеру по интерфейсу Wiegand-26. Считыватель работает следующим образом. Вначале считывается карта Mifare ® , в памяти которой хранится отпечаток пальца владельца карты. Затем сканируется палец. Считыватель сравнивает оба отпечатка и при совпадении посылает в контроллер идентификационный номер, записанный в защищенном секторе Mifare ® .
V. ЗАКЛЮЧИТЕЛЬНЫЕ ЗАМЕЧАНИЯ
В заключение перечислим основные моменты, на которые следует обращать внимание владельцу объекта СКД.
1) Вместо считывания серийного номера чипа, надо считывать данные из защищенного блока памяти карты Mifare ® . Длина данных, записанных в блок памяти, должна быть не более 3 байт, чтобы полностью передать по Wiegand-26.
2) Не рекомендуется использовать карты Mifare ® сразу после покупки. Пользователю следует поменять открытые заводские ключи на свои собственные, секретные ключи. Если не использовать ключи при работе с продуктами Mifare ® , то нет смысла и в самих картах Mifare ® . В этом случае дешевле и проще применять Em Marin. Все преимущества продуктов Mifare ® будут реализованы только тогда, когда пользователь будет закрывать доступ к чтению-записи данных из чипа Mifare ® по своим секретным ключам. И будет делать это самостоятельно, а не получать от поставщика карту с уже записанными (и неизвестными пользователю) ключами.
3) Правильно использовать такие считыватели, которые хранят в своей энергонезависимой памяти ключи доступа к секторам памяти Mifare ® . Если ключи доступа хранятся не в считывателе, а в компьютере, то они легко могут быть скопированы.
4) Владелец системы (доступа, оплаты, и т.п.) должен предусмотреть два этапа выпуска карт:
- пред-эмиссия;
- эмиссия.
Пред-эмиссия нужна для того, чтобы перевести карты Mifare ® с открытого заводского уровня на защищенный уровень, принятый в данной системе. С завода-изготовителя карты Mifare ® поступают открытыми и незащищенными.
Очень важно для владельца объекта СКД знать, что закупаемые им карты Mifare ® находятся на открытом заводском уровне и никакая информация в память карты не записана. Иногда поставщики карт Mifare ® самостоятельно (и без ведома заказчика) прописывают свои ключи в карты Mifare ® , защищая их якобы от подделки. Это неправильно. Поставщик привязывает таким образом владельца СКД к своим картам. А, зная значение ключей, он имеет все возможности для взлома и подделки карт.
Генерировать ключи и записывать их в карты должен сам владелец объекта, на котором установлена СКД, или его доверенное лицо.
Автор: Олег Быков
Читайте также:
13 января 2015
О поправках в Федеральный закон об электронной подписи
В начале декабря прошлого года на официальном сайте Минкомсвязи появилась новость о подготовке законопроекта, направленного на совершенствование использования электронной подписи.
Возможно ли подделать/скопировать карточку?
Это зависит от формата карты. Подделке подвержены незащищенные форматы, такие как EM-marine, HID, Indala (Motorola). Чаще всего подделывают самые распространенные карты EM-marine. «Прошить» копию такой карты можно практически в любой мастерской в переходе метро. Меньше подделывают карты HID, Indala (Motorola), но и тут нет никаких сложностей.
Для защиты от подделки и копирования карт разработаны бесконтактные защищенные технологии идентификации с шифрованием передаваемых данных. Наиболее распространены форматы Mifare и HID iClass. Такие смарт-карты содержат область памяти, в которой хранится идентификационная информация в зашифрованном виде. Для доступа к этой информации нужен пароль, который знает считыватель вашей системы контроля доступа. Добавление новых считывателей или карт доступа требует знание пароля, и это может сделать только администратор системы. Если таких специалистов у заказчика нет, то эмитентом карты может выступить компания, которая обслуживает систему контроля доступа.
Защищенные карты Mifare и HID iClass несколько дороже обычных proximity карт, но с развитием технологий эта разница нивелируется. Нужна ли для вашего объекта защита от подделки и использование более дорогих способов безопасной идентификации — решать вам. Необходимо учитывать, что перейти на защищенные форматы карт возможно только полной заменой как самих карт, так и считывателей.
Популярные услуги в портфеле компании ЮНИМАКС
5 шагов по переводу карт доступа MIFARE Plus в защищенный режим
Если вы искали для своей СКУД карту доступа, защищенную от копирования, и купили карты MIFARE Plus, то это вовсе не означает, что вы получили то, что хотели.
С завода-изготовителя карты поступают в незащищенном состоянии. Несмотря на свою высокую стоимость, карты доступа MIFARE Plus также могут легко копироваться как и карты Em Marin.
Для того, чтобы затраты на дорогие карты доступа не были напрасными, следует выполнить 5 несложных, но важных действий. А именно:
- выбрать блок памяти MIFARE Plus, в котором будут хранится ваши данные;
- записать в этот блок число (номер), по которому будет идентифицироваться в СКУД конкретный работник;
- перевести чип MIFARE Plus на уровень безопасности SL3 (Security Level 3);
- придумать значение крипто-ключа AES, (длиной 16 байт) для закрытия доступа к вашему блоку памяти MIFARE Plus;
- записать придуманное значение крипто-ключа в память MIFARE Plus.
Но, вначале, — что такое «защищенный режим» использования карт доступа MIFARE Plus.
| Не защищенный режим | Защищенный режим |
|---|---|
| Чтение UID | Чтение данных из памяти |
| MIFARE 1K MIFARE Plus MIFAREe Ultralight MIFARE DESFire EV1 |
MIFARE Plus, но только при переводе чипа на уровень SL3 MIFARE DESFire EV1 |
В правой колонке отсутствует MIFARE 1K
Причина — отсутствие защиты, даже при чтении данных из закрытого сектора.
Вот официальное заявление компании NXP .
Карты с чипами MIFARE Plus на уровне безопасности SL1, также, не защищены от копирования при считывании данных из закрытого блока памяти.
Официальное заявление компании NXP по этому поводу .
Серийный номер чипа (UID — уникальный идентификатор) — это простой порядковый номер, который присваивается чипу на заводе-изготовителе. Многие виды продукции имеют свой серийный номер (это и приборы, и автомобили (VIN-номер), и телевизоры и т.п.). Серийный номер нужен для учета выпускаемой продукции, для выполнения гарантийных обязательств и т.п.
Серийный номер чипа MIFARE Plus никак не защищен от копирования. Он и не предназначен для считывания в СКУД при использовании карт доступа MIFARE Plus.
Многие изготовители считывателей пишут «. мультиформатный считыватель, поддержка стандартов MIFARE Classic, MIFARE Plus, MIFARE DESFire EV1 . », но при этом имеют в виду только считывание UID чипа (серийного номера чипа).
Такой режим никак не защищен. Заводской уникальный идентификатор (UID) любой карты легко копируется.
Итак, что же должен сделать заказчик СКУД, чтобы его карты доступа MIFARE Plus были надежно защищены от копирования:
Шаг 1. Выбираем сектор, в котором будет храниться идентификатор (и из которого считыватель будет его считывать и передавать в контроллер)
Количество таких секторов:
| в карте MIFARE Plus SE 1K | — 16 |
| в карте MIFARE Plus X 2K | — 32 |
| в карте MIFARE Plus X 4 K | — 40 |
| в карте MIFARE Plus EV1 2K | — 32 |
| в карте MIFARE Plus EV1 4 K | — 40 |
Для работы в составе СКУД достаточно выбрать один сектор.
Рис.1
В каждом секторе имеется 3 блока, доступные пользователю для записи и хранения идентификатора (Рис.1). Надо выбрать один из трех блоков, в который и будет записан идентификатор.
Рис.2 Например, выбираем Блок 0 Сектора 1
Шаг 2. Записываем в выбранный блок/сектор идентификатор
То есть, тот номер, по которому работник будет идентифицироваться в системе СКУД. Длина этого номера ограничивается типом интерфейса, по которому считыватель будет подключаться к контроллеру:
| Тип интерфейса | Максимальна длина идентификатора |
|---|---|
| Wiegand-26 | 3 байта |
| Wiegand-42 | 4 байта |
| Wiegand-58 | 7 байт |
Рис.3 Получилось так.
Шаг 3. Переводим чип MIFARE Plus на уровень безопасности SL3 (Security Level 3).
Шаг 4. Придумываем значение криптографического ключа.
На уровне безопасности SL3 вступает в силу криптография AES. Но, изначально вся память MIFARE Plus открыта, все крипто-ключи, по которым осуществляется доступ к секторам памяти, имеют открытое (транспортное) значение: — FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF. Длина ключа 16 байт. Для того, чтобы доступ к выбранному на шаге 1 сектору был закрыт, необходимо поменять значение крипто-ключа c транспортного на ваше секретное. Например, вот такое значение: — 77 77 77 77 77 77 77 77 77 77 77 77 77 77 77 77 или, такое: — AF 02 DC BB EF 88 41 FB CE 30 56 BA FC AA 22 FD. Это очень важный момент, так как, тот, кто знает значение вашего крипто-ключа, может изготавливать копии ваших карт доступа. Это шаг, после выполнения которого защита карты от копирования вступает в силу. Если выполнить все предыдущие шаги, но не поменять значения крипто-ключей, то никакой защиты не будет. От того, кто и как будет выполнять этот шаг, зависит реальная защита карты доступа от копирования.
Типичные ошибки
Распространенный пример двух первых видов ошибок — это карты доступа HID iClass.
Какой-то заокеанский менеджер придумывает значение SIO, записывает это SIO на карты доступа и отправляет карты заказчикам.
А вдруг он продаст ваш SIO злоумышленнику? От вас это не зависит.
Можно привести такую аналогию. Вы закупили сейф с кодовым замком. А с завода-изготовителя сейф пришел с уже настроенной кодовой комбинацией для открывания сейфа. Т.е., кто-то на заводе-изготовителе придумал кодовую комбинацию и ввел ее в замок. И у вас нет возможности эту кодовую комбинацию поменять.
То же самое происходит и с SIO в картах iClass.
Типичный пример ошибки третьего и четвертого типа: Некоторые поставщики оборудования пишут: « . При использовании защищенного режима идентификатором является не серийный номер карты, а данные, записываемые в защищенный сектор карты. Ключи доступа к перезаписываемому сектору MIFARE® задаются администратором системы . ».
Ключи доступа задаются администратором системы . Вот это и есть ошибка, слабое место, если не сказать «дыра». Администратор системы уволился, стер на сервере все ключи, ничего не оставил. Кому он «сольет» потом ваши секретные ключи? Как вы будете выпускать карты новым работникам, если ключ стерт на сервере и вы его не знаете?
Если продолжить аналогию с кодовым замком для сейфа, то получается, что «системный администратор» придумал кодовую комбинацию для открывания вашего сейфа и передал вам ее на листке бумаги, оставив себе копию.
Шаг 5. Записываем придуманное на шаге 4 значение крипто-ключа в память карты доступа MIFARE Plus.
Придумав значение крипто-ключа, надо закодировать это значение во все карты доступа, выдаваемые работникам.
Рис.4
На этом шаге закрывается открытый доступ к выбранному на шаге 1 сектору памяти MIFARE Plus (в нашем случае Сектор 1). После выполнения этого шага прочитать выбранный сектор памяти будет невозможно (Рис.4). Как записать в память MIFARE Plus свое значение крипто-ключа? Написать это значение на бумажке и передать ее системному администратору или оператору, — значит забыть про реальную защиту.
По аналогии с кодовым замком для сейфа — вы придумали кодовую комбинацию для своего сейфа и передали записку с этим кодом своему секретарю.
Есть еще один шаг, напрямую не связанный с картами доступа. Нужно симметрично «прошить» считыватели, устанавливаемые на турникетах или дверях.
То есть каждый считыватель СКУД должен:
- поддерживать уровень SL3;
- хранить в своей энергонезависимой памяти ваши значения крипто-ключей;
- и при поднесении карты автоматически считывать идентификатор из выбранного вами блока/сектора карты MIFARE Plus.
Компания NCS — официальный партнер компании NXP по продуктам MIFARE ®
Как партнер NXP, компания NCS имеет не только статус изготовителя и поставщика карт MIFARE и считывателей, но также и статус консультанта по применению MIFARE (MIFARE Application Consultancy) и статус консультанта по техническим характеристикам MIFARE (MIFARE Technical Consultancy).
MIFARE ® , NXP’s brand of contactless IC products.
MIFARE ® зарегистрированная торговая марка, принадлежащая компании NXP.
MIFARE ® является интеллектуальной собственностью компании NXP.
Не допускается использование технологий маскировки ссылок, например, атрибут rel=»nofollow» в ссылке, редирект и т.п.
Программное обеспечение для копирования идендификаторов
Наименование: ПО Copy Card
ПО CopyCard позволяет с помощью адаптера Z-2 USB или адаптера Z-2 EHR записать код карт стандартов EM-Marine, HID (ProxCardII) на карты IL-05T , IL-06T , IL-07T . ПО CopyCard разработано с использованием комплекта разработчика SDK Readers .
Инструкции
Руководство пользователя. ПО Copy Card.
Версия: 2.0.33 Руководство пользователя 341кБ 02.02.2019 Скачать
ПО CopyCard — позволяет с помощью считывателей Z-2 (мод. RD_All)/Z-2 USB и Z-2 (мод. E HTZ RF)/Z-2 EHR копировать карты стандартов EM-Marine, HID (ProxCardII) на карты IL-05T , IL-06T , IL-07T . Программа работает только с заводскими версиями прошивок адаптеров и считывателей. Изменения: — добавлена поддержка считывателя Z-2 (мод. Rd_All).
Версия: 2.0.34 SoftWare 1855кБ 26.04.2019 Скачать
ПО CopyCard — позволяет с помощью считывателей Z-2 (мод. RD_All)/Z-2 USB и Z-2 (мод. E HTZ RF)/Z-2 EHR копировать карты стандартов EM-Marine, HID (ProxCardII) на карты IL-05T , IL-06T , IL-07T . Изменения: — Z-2 EHR: исправлена запись номера на болванки DS1990RW — встроена прошивка Z-2 EHR v215.
Версия: 2.0.37 SoftWare 2030кБ 26.09.2022 Скачать